ISO 27001 Bilgi Güvenliği Yönetim Sistemi Nedir?
Bu standart, bir Bilgi Güvenliği Yönetim Sistemi’ni (BGYS) (Information Security Management System -ISMS) kurmak, gerçekleştirmek, işletmek, izlemek, gözden geçirmek, sürdürmek ve iyileştirmek için bir model sağlamak üzere hazırlanmıştır. Bir kuruluş için BGYS’nin benimsenmesi stratejik bir karar olmalıdır
Bir kuruluşun BGYS tasarımı ve gerçekleştirmesi, ihtiyaçları ve amaçları, güvenlik gereksinimleri, kullanılan prosesler ve kuruluşun büyüklüğü ve yapısından etkilenir.
Bilgi, organizasyonlara değer katan ve bu nedenle uygun şekilde korunması gereken kaynaklar olarak tanımlanabilir. Günümüzde bilgi başta basılı, sözlü, elektronik ortamlar olmak üzere birçok yerde bulunmakta, saklanmakta, posta ve e-mail gibi birçok yolla transfer edilebilmektedir. Bilgi güvenliği, iş devamlılığını sağlamak, meydana gelebilecek zararı en aza indirebilmek, kazancın ve iş fırsatlarının artırılması amacıyla bilgiyi birçok tehlikeye karşı korumayı hedefler.
ISO/IEC 27001, Bilgi Güvenliği Yönetimi Sistemi (ISMS) gereksinimlerini tanımlayan tek uluslararası denetlenebilir standarttır. Yeterli ve orantılı güvenlik denetimleri seçilmesini sağlamak için tasarlanmıştır.
Bu, bilgi varlıklarınızı korumanıza ve ilgili taraflara, özellikle de müşterilerinize güven vermenize yardımcı olur. Bu standart, Bilgi Güvenliği Yönetimi Sisteminizi oluşturmak, uygulamak, işletmek, izlemek, incelemek, sürdürmek ve geliştirmek için süreç yaklaşımını benimser.
Standarta göre her türlü formda bilginin korunması ve saklanması esastır, özellikle de müşterinize ait bilgileri gizlemekten sorumluysanız. Bunun gerçekleştirilmemesi , ticari kayıp ve itibar kaybı anlamına gelir bu da pahalı bir hukuk davasıyla sonuçlanabilir.
ISO 27001, Bilgi Güvenliği Yönetim Sistemi (BGYS) için esas oluşturur ve tüm sektörlerdeki her ölçekte kuruluşa uygulanır. BGYS Sertifikası sizin müşterilerinize, tedarikçilerinize ve devlet kurumlarına karşı sizin Bilgi Güvenliği için sağladığınızı gösterir.
Bu nedenle bilgi güvenliği, kuruluşunuzun faaliyetleri, hatta belki devamı için büyük önem taşır. ISO/IEC 27001 sertifikasyon (belgelendirme)u, değerli bilgi varlıklarınızı yönetmenize ve korumanıza yardımcı olur.
ISO 27001 Bilgi Güvenliği Yönetim Sistemlerini belgelendirme isteyen kuruluşlar özellikle uluslar arası akreditasyon kuruluşlarından akredite olmuş belgelendirme kuruluşlarından ISO 27001 belgesini almalıdırlar. Akreditasyonsuz olarak verilen ISO 27001 belgesinin hiçbir geçerliliği yoktur.
Piyasada ISO 27001 Belgesi bazen ISO 27000 belgesi şeklinde de adlandırılmaktadır. Bu durum aynen ISO 9000 belgesi veya ISO 9001 belgesi şeklinde adlandırıldığı gibidir. Gerçek ismi ISO 27001 belgesi veya ISO 27001 sertifikası olan bu belgenin ISO 27000 sertifikası veya ISO 27000 belgesi şeklinde adlandırılması Bilgi güvenliği yönetim sistemi standartlar bölümünde de göreceğiniz üzere Bilgi Güvenliği Yönetim Sistemi standart ailesinin isminin ISO 27000 standartları geçmesi nedeni iledir. Bu söylemlerin doğrusu hangi standarda göre belgelendirme yapılıyorsa o standart adı ile belgenin söylenmesidir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Kimler için?
ISO/IEC 27001 Bilgi Güvenliği Sistemi, dünyanın hangi Ülkesinden veya hangi sektörden olursa olsun büyük küçük tüm kuruluşlara uygundur. Bu standart, finans, sağlık, kamu ve BT sektörleri gibi bilginin korunmasının büyük öneme sahip olduğu alanlarda özellikle gereklidir.
ISO/IEC 27001 sertifikasyonu, BT taşeron şirketleri gibi bilgiyi başkaları adına yöneten kuruluşlar için de oldukça önemlidir, müşterilere bilgilerinin koruma altında olduğu güvencesini vermek için kullanılabilir.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi Danışmanlık Hizmetlerinde Ne Tür Hizmetler Alınır?
ISO 27001 danışmanlık firmasından ne tür hizmetler alınır sorusunun cevabı, ISO 27001 danışmanlık firması asgari olarak aşağıdaki hizmetleri verir.
Bu hizmetlerin neler olduğuna geçmeden önce kuruluşun Üst yönetimin veya yönetim kurulunun ISO 27001 bilgi güvenliği sisteminin kurulması için karar alması gerekmektedir.
Bu karar bağlamında eğer ihtiyaç duyuluyorsa sistemin kurulumu konusunda danışmanlık alınabilecek kişi / firmalarla bağlantıya geçecek, teklifleri toplayarak bu aşamayı kurumun kendi iç süreçleri ve prosedürleri içinde sonuçlandırmalıdır.
Danışmanlık firması seçiminde dikkat edilmesi gereken en önemli husus en ucuz fiyatı veren değil size daha az maliyette sistem kurmanızı sağlayacak referansları güçlü bir danışman firma ile çalışmanız tavsiyesinde bulunuyoruz. Danışman Firmanın bünyesinde en 1 adet ISO 27001 Baş Denetçi Sertifikasına sahip danışman bulunmalıdır.
ISO 27001 belgesi için Danışmanlık firmasına karar verildikten sonra kurumunuz danışmanlık firması ile ISO 27001 Bilgi Güvenliği Danışmanlık hizmeti alımı anlaşması yapmalıdır. Danışmanlık hizmeti sözleşmesinde ISO 27001 bilgi güvenliği sistemi kurulum sürecin genel takvimi karşılıklı mutabakatla çıkartılmalı ve karara bağlanmalıdır.
Danışmanlık Firması ISO 27001 Bilgi güvenliği Yönetim Sistemi kurulumu ve ISO 27001 Bilgi güvenliği belgelendirilmesi için aşağıdaki akış genel olarak yürütmektedir.
ISO 27001 Bilgi Güvenliği Sistemi Kurma Aşamaları:
- Varlıkların sınıflandırılması,
- Gizlilik, bütünlük ve erişebilirlik kriterlerine göre varlıkların değerlendirilmesi,
- Risk analizi,
- Risk analizi çıktılarına göre uygulanacak kontrolleri belirleme,
- Dokümantasyon oluşturma,
- Kontrolleri uygulama,
- İç tetkik,
- Kayıtları tutma,
- Yönetimin gözden geçirmesi,
- Belgelendirme
ISO 27001 Belgesi Nerden Alınır? Neden Alınır?
ISO 27001 Belgesi Nereden Alınır?
ISO 27001 bilgi güvenliği belgelendirmesine karar veren ve bu yönde tüm hazırlıklarını tamamlayan her firma, ulusal veya uluslararası platformda kabul görmüş ve tanınmış bir belgelendirme kuruluşuna müracaat eder. Belgelendirme kuruluşunun seçimi tamamen firmaya aittir ve kanuni bir zorunluluk yoktur. Firma veya kurum; müşteri portföyünü değerlendirerek, belgelendirme kuruluşunu seçmelidir.
Turkak Logolu ISO 27001 Belgesi Nasıl Alınır?
Türk akreditasyon Kurumu (TURKAK) ISO 17021 Yönetim Sistemleri Belgelendirme Kuralları standartları doğrultusunda çalışmalarını tamamlamış ve ISO 27001 Bilgi Güvenliği Yönetim Sistemi denetçi/ Baş denetçi kadrosunu oluşturmuş firmaları ISO 27001 Belgesi vermesi konusunda akredite etmektedir. TURKAK dan ISO 27001 Belgelendirmesi konusunda akredite olmuş kuruluşlar yapmış oldukları ISO 27001 belgelendirme denetimleri sonucu ISO 27001 belgesini TURKAK akrediteli olarak verebilmektedirler.
ISO 27001 Belgesinin Süresi Var mıdır?
ISO 27001 Belgesi nin alınacağı kuruluşu seçildikten sonra, firma veya kurumun denetimi için bir plan ve program yapılır ve firma veya kurum denetiminden sonra uygun olan sistem belgelendirilir. ISO 27001 sertifikası üç yıl için verilir ve her yıl ara denetimlerle takip edilir. Üç yılın sonunda ise yeniden belgelendirme tetkiki yapılır.
ISO 27001 Belgesi Neden Alınır?
- Bilgi varlıklarının farkına varma: Kuruluş ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde hangi bilgi varlıklarının olduğunun ve bunların değerinin farkına varır.
- Sahip olduğu varlıkları koruyabilme: Kuracağı kontroller ile ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde koruma metotlarını belirler ve uygulayarak korur.
- İş sürekliliği: ISO 27001 Bilgi Güvenliği Yönetim Sistemi firmanın uzun yıllar boyunca işini garanti eder. Ayrıca ISO 27001 Bilgi Güvenliği Yönetim Sistemi bir felaket halinde, işe devam etme yeterliliğine sahip olur.
- İlgili taraflar ile barış halinde olma: Başta tedarikçileri olmak üzere, ISO 27001 Bilgi Güvenliği Yönetim Sistemi sayesinde bilgileri korunacağından ilgili tarafların güvenini kazanır.
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi bilgiyi bir sistem sayesinde korur, tesadüfe bırakmaz.
- ISO 27001 belgesi ile Bilgi Güvenliği Yönetim Sistemi kuran firmaları müşterileri değerlendirirse, rakiplerine göre daha iyi değerlendirilir.
- ISO 27001 Bilgi Güvenliği Yönetim Sistemi çalışanların motivasyonunu arttırır.
- ISO 27001 Bilgi Güvenliği Sistemi yasal takipleri önler.
- ISO 27001 belgesi yüksek prestij sağlar.